“조금만 틈 있어도 뚫려”
지역내일
2011-08-23
해커는 틈새찾기 … 보안전문가는 전체 다봐야
해킹을 막기 위해 완벽한 보안시스템을 99.9% 준비해도 해커는 0.1%의 허점을 찾아 뚫는다.
이호웅(41) 안철수연구소 시큐리티대응센터장은 "집 지키는 것에 비유하면 도둑은 금고털이 전문이 있고 현관문을 잘 여는 전문이 있는 등 한쪽 분야를 잘 알고 있을 경우 취약점을 찾아 목적을 달성할 수 있다"며 "하지만 집을 잘 지키는 보안전문가는 모든 분야를 잘 알고 있어야 한다"고 말했다.
그는 각종 해킹에 보안전문가들이 대응하기 어려운 현실을 설명했다.
이 센터장은 "우리나라는 해커들이 공격하기 좋은 여건을 갖고 있다"며 "전자상거래가 활발하고 보안시스템이 비교적 잘 갖춰있어 해커들의 도전의식을 자극한다"고 말했다.
일본의 대표적 기업인 소니가 해커들의 집중 표적이 되고 있는 것도 소니가 해커를 자극하기 때문이라고 이 센터장은 설명했다. 그는 "소니는 보안이 뛰어나다는 것을 내세우고 해커들을 상대로 고소도 많이 한다"며 "해커를 잡으려고 해커들과 똑같은 행동을 하기도 한다"고 말했다.
이 센터장은 점차 해커들의 공격이 위협적으로 변하고 있다며 우려를 표했다.
그는 "최근 세계적으로 관심을 끌고 있는 APT 공격은 하루 아침에 해킹을 하는 것이 아니라 해킹 대상을 수개월이나 1~2년에 걸쳐 지켜보면서 공격을 하기 때문에 상당히 위험하다"며 "기업이나 금융권에서 최고보안책임자(CSO) 채용을 의무화해야 한다"고 말했다.
최고보안책임자가 기업의 전산 구조를 잘 파악하고 있는 상태에서 허점이 공격받을 때 즉각적인 방어와 대응을 할 수 있다는 점에서다.
이 센터장은 보안전문가 양성의 중요성을 언급하면서도 '화이트 해커' 선발에는 엄격한 기준을 제시했다.
그는 "대학에서 강의를 할 때 보안전문가보다 해커가 멋있다는 반응이 많다"며 "그렇지만 보안취약점을 찾아내는 화이트 해커가 되려는 사람들이 해킹을 하면 안된다"고 경고했다.
이 센터장은 "이는 경찰이 되려고 도둑질을 해보는 것과 같다"며 "면접을 볼 때 해킹을 해본 응시자들은 자기를 드러내기 위해 해킹 경력을 자랑스럽게 말하는데 전부 탈락"이라고 강조했다. 그는 "그냥 탈락이 아니라 심하게 혼내고 탈락시킨다"고 덧붙였다.
이 센터장은 대학에서 컴퓨터그래픽을 전공했다. 98년부터 보안 관련 공부를 시작했고 국내 최고의 보안업체인 안철수연구소에 입사했다.
그는 "보안전문가가 되기 위해 기본 교육을 등한시하고 뛰어들면 해커가 될 위험성이 높다"며 "컴퓨터사이언스 등 기초분야에서 충실한 실력을 쌓아야 한다"고 말했다.
이경기 기자 cellin@naeil.com
Copyright ⓒThe Naeil News. All rights reserved.
해킹을 막기 위해 완벽한 보안시스템을 99.9% 준비해도 해커는 0.1%의 허점을 찾아 뚫는다.
이호웅(41) 안철수연구소 시큐리티대응센터장은 "집 지키는 것에 비유하면 도둑은 금고털이 전문이 있고 현관문을 잘 여는 전문이 있는 등 한쪽 분야를 잘 알고 있을 경우 취약점을 찾아 목적을 달성할 수 있다"며 "하지만 집을 잘 지키는 보안전문가는 모든 분야를 잘 알고 있어야 한다"고 말했다.
그는 각종 해킹에 보안전문가들이 대응하기 어려운 현실을 설명했다.
이 센터장은 "우리나라는 해커들이 공격하기 좋은 여건을 갖고 있다"며 "전자상거래가 활발하고 보안시스템이 비교적 잘 갖춰있어 해커들의 도전의식을 자극한다"고 말했다.
일본의 대표적 기업인 소니가 해커들의 집중 표적이 되고 있는 것도 소니가 해커를 자극하기 때문이라고 이 센터장은 설명했다. 그는 "소니는 보안이 뛰어나다는 것을 내세우고 해커들을 상대로 고소도 많이 한다"며 "해커를 잡으려고 해커들과 똑같은 행동을 하기도 한다"고 말했다.
이 센터장은 점차 해커들의 공격이 위협적으로 변하고 있다며 우려를 표했다.
그는 "최근 세계적으로 관심을 끌고 있는 APT 공격은 하루 아침에 해킹을 하는 것이 아니라 해킹 대상을 수개월이나 1~2년에 걸쳐 지켜보면서 공격을 하기 때문에 상당히 위험하다"며 "기업이나 금융권에서 최고보안책임자(CSO) 채용을 의무화해야 한다"고 말했다.
최고보안책임자가 기업의 전산 구조를 잘 파악하고 있는 상태에서 허점이 공격받을 때 즉각적인 방어와 대응을 할 수 있다는 점에서다.
이 센터장은 보안전문가 양성의 중요성을 언급하면서도 '화이트 해커' 선발에는 엄격한 기준을 제시했다.
그는 "대학에서 강의를 할 때 보안전문가보다 해커가 멋있다는 반응이 많다"며 "그렇지만 보안취약점을 찾아내는 화이트 해커가 되려는 사람들이 해킹을 하면 안된다"고 경고했다.
이 센터장은 "이는 경찰이 되려고 도둑질을 해보는 것과 같다"며 "면접을 볼 때 해킹을 해본 응시자들은 자기를 드러내기 위해 해킹 경력을 자랑스럽게 말하는데 전부 탈락"이라고 강조했다. 그는 "그냥 탈락이 아니라 심하게 혼내고 탈락시킨다"고 덧붙였다.
이 센터장은 대학에서 컴퓨터그래픽을 전공했다. 98년부터 보안 관련 공부를 시작했고 국내 최고의 보안업체인 안철수연구소에 입사했다.
그는 "보안전문가가 되기 위해 기본 교육을 등한시하고 뛰어들면 해커가 될 위험성이 높다"며 "컴퓨터사이언스 등 기초분야에서 충실한 실력을 쌓아야 한다"고 말했다.
이경기 기자 cellin@naeil.com
Copyright ⓒThe Naeil News. All rights reserved.
위 기사의 법적인 책임과 권한은 내일엘엠씨에 있습니다.
<저작권자 ©내일엘엠씨, 무단 전재 및 재배포 금지>
목록
보내기